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Description 

La presente invention concerne un dispositif de chiffrement, apte & transformer un mot binaire de "n" 
bits en un autre mot binaire de "n" bits, par la mSthode connue, dite de substitutions-permutations. Cette 

5 methode consiste k effectuer, a partir du mot d'entree, une suite d'operations de substitution; consistant 
chacune & remplacer, sous le controle d'une cle, un mot de "nrf bits (en general des sous-mots du mot 
' d'entree) par un autre mot de "m" bits, et de permutations qui consistent k permuter, suivant un schema 
predefine tes bits d'un mot afin de former un nouveau mot de longueur egale. 

Des exemples, de tels systemes de chiffrement sont constitues par les systemes connus sous l'appel- 

10 lation anglo-saxonne "Data Encryption Standard - ou encore par ceux qui sont par exemple decrits dans 
le brevet US 4 275 265 ou encore dans la publication "Proceedings" of IEEE Vol. 67 n°. 3, Mars 1979, 
pages 397 k 427 ayant pour titre "Privacy and authentication: An introduction to cryptography". Un in- 
convenient de ces systemes consiste dans le fait que la loi de substitution est fixee une fois pour toutes, 
et que tous les utilisateurs utilisent done le meme algorithme de chiffrement, le seul parametre variable 

15 d'un utilisateur k V autre etant la cle. 

Le fait que les lois de substitution soient fixes et connues presente deux types de vulnerabilite, la pre- 
miere vulnerabilite est que la connaissance de la cle suffit k dechiffrer un message, la seconde est que 
les substitutions etant fixes et non evolutives, il n'y a pas de limite de temps pour trouver, par des metho- 
des d'analyse mathematique ou statistique, d'eventuelles faiblesses facilitant le dechiffrement. 

20 Par ailleurs les dispositifs de chiffrement existant actuellement s'appliquent & des mots et k des des 
de longueur bien determinee, mais manquent de souplesse pour une utilisation avec des mots ou avec 
des des de longueur d iff e rente. 

La presente invention a pour objet un dispositif de chiffrement presentant une plus grande souplesse 
d'utilisation, tant vis-^-vis de ses possibilites duplication (incluant notamment une personnalisation de 

25 I'algorithme de chiffrement) que vis-a-vis du format des mots auquel il s'applique. 

La presente invention a egalement pour objet un dispositif dont la structure est adaptable en fonction 
de criteres choisis tels que rapidite ou compactte. 

La presente invention a egalement pour objet un dispositif de chiffrement qui est en meme temps re- 
versible, e'est-^-dire utilisable sans aucune modification k remission comme a la reception. 

30 La presente invention a pour objet un dispositif de chiffrement, apte k transformer un mot binaire en 
un autre mot binaire par une suite de substitutions et de permutations, sous la commande d'une cle, es- 
sentiellement caracterise en ce que les operations de substitution sont realisees au moyen d'une ou plu- 
sieurs memoires programmables ou reprpgrammables adressees par tout ou partie du mot devant subir 
une substitution, et par tout ou partie de la cle, ou de parties de la cle appliquees successivement. 

35 Les objets et caracteristiques de la presente invention apparaitront plus clairement a la lecture de la 
description suivante d'exemples de realisation, faite en relation avec les dessins ci-annexes dans les- 
quels : 

- la figure 1 est un schema synoptique d'un dispositif de chiffrement suivant ('invention ; 
40 - la figure 2 est une variante de ce schema ; 

- la figure 3 est un schema de realisation correspondant au schema synoptique de la figure 2 ; 

- la figure 4 est un diagramme explicatif de ('operation de substitution ; 

- la figure 5 montre le schema utilise pour realiser I'operation de permutation ; 

- la figure 6 montre le schema utilise pour realiser les operations de permutation initiale et finale ; 

45 - la figure 7 represente schematiquement un exemple d'application d'un dispositif suivant ('invention ; 

- la figure 8 est un schema d'une autre variante de realisation du dispositif. 

A titre d'exemple la description qui suit est faite pour un mot d'entree de 32 bits et pour une cle de 64 
bits. Mais il faut souligner que le principe de ('invention est general et independant des valeurs numeri- 

50 ques choisies. Pour des mots d'entree de longueur plus importante, le dispositif de chiffrement se dedui- 
rait de celui decrit ciapres par adjonction de dispositifs identiques. Pour des mots d'entree plus courts, 
le dispositif decrit ci-apres est directement utilisable, par un simple choix particulier des substitutions, 
comme on le verra ulterieurement. De meme, pour des longueurs de cte differentes, le dispositif de chif- 
frement se deduirart de celui decrit ci-apres par une modification mineure du sequenceur. 

55 De meme le principe general est independant de la taille des memoires de substitution, ou du decoupa- 
ge eventuel du mot d'entree et de la cle en plusieurs trongons d'6l6ments binaires, Tensemble de ces pa- 
rametres determinant en particulier les conditions d'application du mot devant subir une substitution, et 
de la de, aux memoires de substitution, le nombre de memoires de substitution, ou le nombre de suites de 
substitutions-permutations k effectuer successivement 

60 Le principe general est decrit k la figure 1. Le mot d'entree de 32 bits est decoupe en quatre tron$ons 
de 8 bits. Le mot subit d'abord une permutation initiale To dans un circuit de permutation initiale 1 (decrit ul- 
terieurement) qui a pour role de permettre ('adaptation du dispositif k des longueurs de mots d'entree in- 
ferieures. Puis chaque bloc de 8 bits subit une substitution, dans une m^moire dite de substitution (2, 3, 
4, 5) qui le transforme en un autre mot de 8 bits. Cette substitution est assuree par une table aleatoire, 

65 comme on le verra plus loin, et est reversible, e'est-^-dire qu f k tout mot de 8 bits de I'ensemble de 256 
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mots de 8 bits presentes k I'entree, correspond un et un seu! mot de 8 bits en sortie et qu' a deux mots dif- 
ferents k I'entree correspondent des mots substitues en sortie qui sont differents. Le choix de tables 
aleatoires n'est pas une absolue necessite mais correspond k une meilleure quaiite du chiffrement. Les 
substitutions pour chaque bloc de 8 bits sont differentes et controlees d'une part par une partie Ki telle 
5 que definie ci-apres de la cle proprement dite, d'autre part par des bits de controle (Co, Ci) qui consti- 
tuent en fait un complement de cle ou cle auxiliaire. 

U& cle de 64 bits est emmagasinee dans une memoire (7) f dite memoire de cle, sous la forme de 16 tron- 
cons de 4 bits qui sont notes : 

K Q = k Q kl k 2 k 3 

K l " k 4 k 5 k 6 k 7 aveC k i = 0 ou 1 



15 



45 



f 
t 
t 

K 15 = k 60 k 61 k 62 k 63 



Les substitutions appliquees aux differents blocs de 8 bits sont des bijections de Pensemble k 256 ele- 
20 ments de la forme pn « ao ai . . . aj (ai = 0 ou 1 ; O^ns 255) sur lui-meme. Ces substitutions sont appe- 
lees s'Kj, i etant le rang du bloc de 8 bits sur lequei s'applique la substitution (i compris entre 1 et 4) et Kj 
etant la valeur du troncon de la cle (une des 1 6 valeurs possibles entre 0000 et 1 11 1 ). 

A partir d'un bloc d'entree pn de 8 bits, on peut done obtenir un bloc de sortie de 8 bits Cn = s'Kj pn. On 
appele 

25 

S (-Di 

S Kj 

30 la substitution inverse de s'Kj, c'est-&-dire la bijection qui est definie par : 

pn = s^P 1 x Cn 

35 

Les elements ainsi definis apparaissent sur le diagramme explicatif de la figure 4. 
L'ensemble de quatre substitutions 

s Kj> s Kj+r s Kj+2' 5 Kj+3 



telles que definies ci-dessus constitue une substitution globale d*un mot de 32 bits par un autre mot de 32 
bits. Cette derniere substitution est notee Sk et correspond k i'utilisation de 16 bits de cles (Kj, Kj+1, 
Kj+2, Kj+3). Si la cle de 64 bits est divisee en quatre troncpns de 16 bits, on peut done noter les substitu- 
tions correspondantes Ski , Sk2, Sk3, Sk4. 

Apres avoir ete transforme par substitution, le mot subit une nouvelle permutation Ti (differente de la 
permutation initiale To) dans un circuit de permutation 6 (decrit ulterieurement) e'est-^-dire un echange 
50 de la place de ses bits, de facon a obtenir un nouveau mot de 32 bits. Cette permutation est homogene, 
c*est-^-dire que les bits issus de chaque octet sont repartis uniformement sur les quatre octets apres 
permutation. Cette permutation est egalement reciproque, c f est-&-dire que Ton a 

55 T l = T ] 1 - 

Le choix d'une permutation homogene n'est pas obligatoire mais permet d'obtenir une meilleure quaiite du 
chiffrement, de meme que le choix de la reciprocite n'est pas obligatoire mais permet d'utiliser le meme dis- 
positif par le chiffrement et le dechiffrement. 

Sur le mot obtenu apres permutation est effectuee une nouvelle substitution avec un troncon diffe- 
rent de 16 bits de cle, puis une nouvelle permutation Ti et ainsi de suite. 

Un sequenceur, non represente sur la figure, permet de controler le derouiement des operations et de 
choisir pour chaque operation de substitution le troncon de cle de 16 bits correspondant Lorsque les 
ec quatre troncons de cles de 16 bits chacun : K'o = (Ko, Ki, K 2f K3). K'i = (K 4 , K5, Ke, K 7 ), K* 2 = (Ke, Kg, K10, 

65 
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Kn) et K' 3 = (Ki 2( K13. Ku, K15) ont 6te utilises une fois, dans une premiere suite de quatre substitutions- 
permutations, ils sont a nouveau utilises une seconde fois dans une deuxi^me suite de quatre substitu- 
tions-permutations, pour accroitre la diffusion des bits de cle dans le mot chiffre, et dans un ordre in- 
verse et sym6trique, ce qui permet d'utiliser le meme sequencement de troncons de cle pour realiser 

5 Toperation de chiffrement ou son inverse, sans avoir besoin d'inverser ce sequencement. 

A Tissue de la derniere substitution, a lieu une permutation finale To identique a la permutation initiate 1 
et ayant la meme fonction, dans un circuit de permutation finale 8. Le mot de 32 bits obtenu a Tissue de 
cette permutation constitue le mot de sortie C du dispositif de chiffrement. L'ensemble des operations, 
ou algorithme de chiffrement se presente done comme une suite de permutations et de substitutions, et 

1 0 on peut 6crire : 

C « To Ski T1 Sk2 T1 Sk3 Ti Sk4 T1 S k 4 Ti Sk3 T1 Sk2 Ti Ski T 0 P 

D'apres cette Venture, le mot d'entr6e de 32 bits P subit d'abord la permutation To, puis la substitution 
Ski puis la permutation Ti, puis la substitution Sk2 et ainsi de suite jusqu'a la permutation finale To. Le mot 
final obtenu est le mot C. 

1 5 L'operation inverse est obtenue en faisant Top6ration inverse, e'est-a-dire : 

P = T 0 S kl T l S k2 T l S k3 T l S kl T l S kl T l S k3 T l S k2 T l S kl T 0 C 



20 



En effet, Tapplication successive de deux permutations To ou de deux permutations Ti donne Topera- 
tion identity et il en est de meme de 



appliquee apres Ski. 

L'utilisation de memoires pour le stockage des tables de substitution, et notamment de memoires repro- 
30 grammables a 32 kilo octets, permet de stocker non seulement les seize tables de substitutions par octet 
necessaires pour mettre en oeuvre, par octet, Talgorithme de chiffrement, mais aussi les tables de subs- 
titution inverse necessaires pour mettre en oeuvre Talgorithme inverse (le choix entre algorithme et algo- 
rithme inverse s'effectuant par Tintermediaire d'un bit de controle Co) et permet egalement de stocker 
plusieurs jeux de tables de substitution, par exemple quatre dans Texemple consider^ (le choix d'un en- 
35 semble donn6 s'effectuant par Tintermediaire de bits de controle Ci, au nombre de deux dans Texemple 
considere). 

On peut citer a titre d'exemple deux cas particulferement interessants d'utilisation des bits de controle 
Ci. 

Un premier exemple est Tutilisation du dispositif suivant un mode commun MC, tout en gardant Tutilisa- 

40 tion d'un mode personnel MP. Cet exemple est illustre sur la figure 7. 

Soient A et B deux utilisateurs du meme dispositif, chaque utilisateur etant constitue de deux ou plu- 
sieurs Elements, respectivement a et a*, b et b* entre lesquels s'effectuent des echanges d'information. 
Si ces utilisateurs sont susceptibles de travaiiler un jour en commun, ils constituent ensemble un jeu com- 
mun "mc" de tables de substitution. Chacun complete ses memoires de substitution avec un jeu qui lui est 

45 propre, respectivement "mpT et • , mp 2 ". En temps normal, chaque utilisateur gere sa propre cte, et aucu- 
ne information ne peut s'echanger entre les §l6ments de A et les 616ments de B. Si une decision d'6chan- 
ge est prise, les deux utilisateurs pourront dialoguer en utilisant la meme cle et en sSlectionnant, a Taide 
du bit de controle Ci, le jeu commun de tables de substitution. Bien qu'utilisant la cl6 commune, chaque uti- 
lisateur peut cependant conserver des echanges secrets, en utilisant alors son propre jeu de tables, 

50 sur simple commutation du bit de controle Ci. 

Un autre exemple consiste a faire evoluer dans le temps le contenu des mSmoires de substitution, per- 
mettant ainsi de faire evoluer de facon permanente Talgorithme et rendant nettement plus difficile la ta- 
che d'un eventuel adversaire. En effet la possession de Talgorithme et de la cte est necessaire a Tad- 
versaire pour pouvoir dechiffrer les ^changes d'information. En general, Talgorithme est fixe et connu, 

55 ou tout au moins est susceptible de Tetre au bout d'un temps plus ou moins long. II suffit alors a Tadver- 
saire d'obtenir la c!6 en usage a un instant determine, ce qui pr§sente d'autant plus de possibilites que sa 
diffusion est plus generate. Si Talgorithme 6volue dans le temps, la difficult^ s'accroit. 

Dans cette optique, la possibilite de selectionner un autre jeu de memoires de substitution peut etre uti- 
lises pour masquer les periodes transitoires de changement de contenu du jeu pn§cedemment utilise, en 

60 particulier en presence de nombreux utilisateurs. La methode consiste alors a travaiiler alternativement 
avec deux jeux de tables. Un premier jeu est le jeu en usage, le second jeu est le jeu en cours de modifica- 
tion. Lorsque tous les 6quipements ont 6t6 modifies, en change le role respectif des jeux de tables. 

Le schema synoptique represente sur la figure 2 ne differe de celui repr6sente sur la figure 1 que par 
le fait que le systdme est reboucte sur iui-meme, les mots obtenus apres les differentes permutations se 

65 



4 



EP 0 202 989 B1 



presentant alors successivement a Pentree d'un unique ensemble de quatre memoires de substitution 
pour y subir les differentes substitutions, et les differents troncons de cle etant alors successivement 
appliques a ces memoires dans Pordre expose precedemment. Ce schema a I'avantage de presenter une 
plus grande compacite, le schema precedent ayant I'avantage d f une plus grande rapidite. 
5 Sur la figure 3 on a represents un schema de realisation correspondant au schema synoptique de la fi- 
gure 2. 

Ce schema est limite au coeur du systeme ; en particulier n'y figurent ni le sequenceur qui permet d'or- 
donner la succession des operations effectuees, ni Padressage des memoires de cie et des memoires de 
mots ; ces elements se d6duisent cependant de la description. 

10 Le systeme comprend tout d'abord une memoire de mot (9) reliee a une ligne de donnee (10) de 8 bits, 
memoire dans laquelle on a charge precedemment le mot de 32 bits a convertir. Le systeme comprend 
egalement une memoire de cle (7) reliee a la meme ligne de donnee (10) et dans laquelle la cle a et§ char- 
gee. Les memoires de mots et de cie sont representees comme deux elements differents mais peuvent 
etre regroupees dans le meme composant 

15 Dans un premier temps, et sous controle d'un sequenceur (non represented, le mot a chiffrer est char- 
ge, par sous-blocs de8bits, dans des memoires tampons communement appelees "latch" (11, 12, 13, 14). 
Ensuite le mot de 32 bits subit la permutation initiale To dans le circuit 1 . Cette permutation est realisee 
par cablage suivant le schema de la figure 6 qui sera decrit ulterieurement. Les quatre sous-blocs de 8 
bits issus de cette permutation chargent une deuxieme serie de quatre memoires-tampons (16, 17, 18, 19). 

20 Pendant ce temps, le sequenceur a charge le premier troncon K'o de 16 bits de cle (Ko, Ki, K2, K3) de la 
facon suivante : le premier octet de la cle (K 0 , K1) a ete charge dans une memoire tampon 20 et le second 
octet de la cl6 (K 2 , K3) a ete charge dans une memoire tampon 21 . 

Les quatre premiers bits K 0 de la cle sont appliques sur la memoire de substitution 2, les quatre sui- 
vants K1 sur la memoire de substitution 3, les quatre suivants K 2 sur la memoire de substitution 4, et les 

25 quatre suivants K 3 sur la memoire de substitution 5. Les memoires de substitution 2, 3, 4, 5 sont a titre 
d'exemple des memoires reprogrammables de capacite 32 K octets. Les 15 bits d'adresse de ces memoi- 
res de substitution sont constitues par les 8 bits du mot d'entree, les 4 bits de la partie de la cle Ki qui s*y 
applique et 3 bits de controle Co et Ci, bbtenus respectivement sur deux lignes 26 et 27. Un des bits de 
controle Co est reserve, comme on Pa vu, a la selection entre Talgorithme de chiffrement et son inverse. 

30 Les deux autres bits de controle Ci permettent de choisir un jeu de tables parmi quatre disponibles. Le ti- 
rage du contenu des tables de substitution fait Pobjet d'un developpement ulterieur. Les mots de 8 bits is- 
sus des tables de substitutions et regroupes en un mot de 32 bits subissent ensuite une permutation 
dans le circuit 6, par cablage conformement a la figure 5 decrite ulterieurement. Le mot permute est a 
nouveau charge dans les memoires tampon 16, 17, 18, 19. Le troncon suivant, KS, de 16 bits de cle (K4, Ks, 

35 K 6 , K7) est alors charge dans les memoires tampon 20 (pour ce qui est du premier octet K 4 , Ks) et 21 (pour 
ce qui est du second octet K6 ( .K 7 ). Puis les bits K4 sont appliques a la memoire de substitution 2 et ainsi 
de suite jusqu'aux bits K7 qui sont appliques a la memoire de substitution 5. Apres une nouvelle substitu- 
tion sous le controle de ces bits de cie, une nouvelle permutation a lieu, et ainsi de suite. 

Apres application des bits de cies K12 & Ku et permutation, une nouvelle substitution a lieu avec a 

40 nouveau les bits K12 a Ku, suivie d'une permutation-substitution avec les bits Ka a Kn et ainsi de suite. 

Lorsque les bits de cie Ko a K3 ont ete appliques, le mot resultant subit une permutation finale dans un 
circuit 8 conforme a la figure 3, puis est charge dans des memoires-tampon de sortie 30, 31, 32, 33. Ces 
m6moires-tampon sont reliees au bus de donnee 10, be qui permet le chargement de la memoire de mots 9 
par le mot ainsi obtenu. Cette memoire peut ensuite etre lue via le meme bus de donnee (1 0) par un syste- 

45 me exterieur a ce dispositif. 

On d6crit maintenant le choix du contenu des tables de substitution. Dans le cas general, les tables de 
substitution sont choisies de facon aieatoire sur Pensemble des 256 octets possibles. Dans ce cas, la 
constitution d'une table se fait de la facon suivante. 

Pour le premier octet (vaJeur 0000 0000) on fait un tirage aieatoire d'un nombre parmi 256 de valeur 

50 comprise entre 0 et 255. La valeur binaire de ce nombre est I'octet a substituer a Poctet 0000 0000. Pour 
le second octet, on fait un tirage aieatoire d'un nombre parmi les 255 restants, apres elimination du r6sul- 
tat du premier tirage et ainsi de suite jusqu'au dernier octet (valeur 1111 1111) auquel on fait correspondre 
le seul octet restant apres elimination des 255 deja tires. 

La table inverse se deduit immediatement de la table ainsi decrite en etablissant les correspondances 

55 inverses. 

Chaque memoire est chargee avec quatre jeux de seize tables et de leurs inverses. 

On notera qu*il existe 256I facon de choisir une table. Dans I'exemple de realisation de la figure 3, ou il 
y a quatre memoires, chacune contenant 16 tables et leurs inverses (pour la meme valeur des bits de con- 
trole), le jeu de tables contient done 64 tables avec leurs inverses et la probabilite que deux utilisateurs 
60 tombent par hasard sur la meme programmation est tr£s faible puisqu'elle est de 1/(2561)64. 

On decrit maintenant le fonctionnement du dispositif pour permettre le chiffrement de mots de lon- 
gueur inferieure. Un exemple applique a un mot de 28 bits permettra de comprendre immediatement le 
fonctionnement. I ... 

Dans une premiere operation effectuee hors du dispositif, le mot de 28 bits est corppiete a 32 bits par 
65 quatre zeros en position 29, 30, 31 et 32. 
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Dans la permutation To, les zeros se retrouvent en position 21 , 22 et 31 , 32 (voir figure 6). 
Le choix des tables de substitution des deux premieres memoires 2 et 3 se fait de la facon decnte au 
paragraphe precedent, sans restriction. 

Pour les tables de substitutions des deux dernieres memoires, 4 et 5, la contrainte que Ton se fixe est 
5 de conserver les deux zeros a la meme position. Pour ce faire les 256 mots d'entree sont divises en deux 
ensembles. Un premier sous-ensemble de 64 mots correspond aux mots ayant deux zeros aux positions 
/ 21 et 22, pour la troisieme memoire 31, et 32 pour la derniere. Un deuxieme sous-ensemble correspond 
aux 192 mots restants. Les substitutions sont choisies de fagon aleatoire mais en restant dans le sous- 
ensemble du mot presente a I'entree de la table. 
10 Pour deux zeros a Tentree aux positions definies precedemment, on retrouve done toujours deux ze- 
ros a la sortie. La permutation Ti de la figure 5 conserve egalement la place de ces zeros (du fait de la 
conservation des bits de rang 21, 22 et 31, 32 par cette permutation), et ainsi de suite jusqu'a la derniere 
substitution. . 

La permutation finale To de la figure 3 retablit les quatre zeros a leur position d'origine du fait du ca- 
15 ractere reversible de cette operation. II suffit alors, dans le systeme exterieur au dispositif, de ne rete- 
nir que les 28 premiers bits correspondant au mot chiffre. 

Le principe illustre par cet exemple s'applique sans difficulty a tous les mots dont la longueur est com- 
prise entre 24 et 32 bits. 

On notera de meme que le dispositif peut fonctionner sans modification sur plusieurs longueurs de 
20 mots differentes, I'utilisation de bits de controle permettant le choix d'un jeu de tables adapte a la lon- 
gueur du mot. " " . , 

Des variantes evidentes peuvent §tre deduites pour une gamme de longueur de mots differentes en 
choisissant un dispositif avec des permutations adaptees a cette contrainte, et lors de la programmation 
des memoires de substitution, des jeux de tables adaptees a la longueur du mot a chiffrer. Cependant, on 
25 notera que la permutation Ti doit etre le plus homogene possible, pour permettre une meilleure diffusion 
de Tinformation. 

En effet, lorsque le mot d'entree est decoupe en plusieurs groupes d'elements binaires sur lesquels 
sont ensuite effectuees des operations de substitution distinctes, la permutation Ti doit etre le plus ho- 
mogene possible, pour permettre une meilleure diffusion de Tinformation. Ainsi, si un bit change en en- 
30 tree d'une memoire de substitution, tous les bits de sortie de cette memoire ont une probability identique 
de changer. II faut alors que cette probability se retrouve le mieux repartie possible apres permutation. 
Le schema de la figure 5 correspond a une possibility d'obtenir un tel resultat. Ce schema est par ailleurs 
reversible, e'est-a-dire qu'a un bit de rang n en entree correspond un bit de rang m en sortie, et inverse r 

ment. * . „ 

35 Un autre exemple de realisation, utilisant une seule memoire de substitution est maintenant decnt. II est 
illustre par la figure 8. II differe du montage precedent en ce sens que : 

- les memoires de mots et de cles sont regroupees dans un meme composant ; 

- it n*y a pas de permutation initiale ni finale To ; 

40 - suivant le fonctionnement du sequenceur, on peut indifferemment commencer par une substitution ou 
par une permutation ; 

- et surtout les substitutions se font successivement sur les differents octets et non plus simultanement. 

Le fonctionnement est le suivant. Le mot en clair et les cles sont charges a I'aide de la ligne de don- 
45 nees 40 dans la memoire 41 . Puis le mot est charge dans les quatre memoires-tampon 42 a 45, subit la 
permutation Ti dans un circuit de permutation 46 et est emmagasine dans quatre memoires-tampon 47 a 
50. Le premier troncon de cle Ko est charg§ dans une memoire tampon 51 . Le premier octet issu de la me- 
moire tampon 47 subit la substitution puis est stocky dans la memoire tampon 42. Ensuite le deuxieme 
troncon de cl6 Ki est charge dans la m^moire-tampon 51 et le deuxieme octet issu de la memoire-tampon 
50 48 subit la substitution et est stocky dans la m6moire-tampon 43. 

La substitution partant sur le deuxieme octet peut utiliser la meme table que la substitution portant sur 
le premier octet, ou, dans des variantes du dispositif, une table difterente en utilisant des bits suppl£- 
mentaires d'adresse de la memoire de substitution 52 controles par le sequenceur. 

Lorsque les quatre octets ont subi la substitution et sont charges dans les memoires-tampon 42 a 45, 
55 le mot de 32 bits ainsi obtenu subit a nouveau la permutation et ainsi de suite. 

Apres la derniere permutation, les octets disponibles dans les memoires-tampon 47 a 50 sont charges 
dans la memoire de mots 41 . ( . 

Bien que les principes de la presente invention aient ete decrits ci-dessus en relation avec des exem- 
ples particuliers de realisation, on comprendra clairement que ladite description est faite seulement k ti- 
60 tre d'exemple et ne limite pas la portee de Tinvention. Parmi les nombreuses variantes qui pourraient etre 
apportees au dispositif ainsi decrit, sans sortir du cadre de la presente invention, on peut citer a titre 
d'exemple ; 

- la possibility de ne pas appliquer la c\6 directement aux memoires de substitution mais apres un traite- 
65 ment prealable ; 
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- la possibility de changer I'ordre des operations (permutations-substitutions au lieu de substitutions- 
permutations) ou d'effectuer certaines operations (substitutions et/ou permutations) en plusieurs eta- 
pes ; 

- ta possibility de faire un systeme intermediate entre la version bouclee de ta figure 2 et la version ecla- 
5 tee de la figure 1 ; 

- ia possibility d'effectuer un nombre quelconque de suites de substitutions-permutations, eventuelle- 
menti non symetriques ; 

- la possibility de ne pas effectuer de permutation initiale et finale. 

De meme la definition des moyens de realisation des operations de substitution suivant invention, 
10 peut recouvrir toutes les yariantes possibles entre les cas "extremes" suivants : 

- realisation de Toperation de substitution avec une seule mymoire, adressee par le mot k chiffrer et par 
la cle dans leur. totality ; 

- realisation de I'opyration de substitution avec plusieurs mymoires, adressyes respectivement par des 
parties du mot k chiffrer et par des parties de parties de la ciy appliquyes successivement, soit dans le 

15 cadre d'un systeme ydate tel que celui de la figure 1, soit dans le cadre d'un systeme bouciy tel que celui 
de la figure 2. 



Revendications 

20 

1. Dispositif de chiffrement par substitutions-permutations apte k transformer un mot binaire (p) en un 
autre mot binaire (c) par une suite de substitutions et de permutations, sous la commande d'une ciy (K), 
dans laquelle les opyrations de substitution sont realisees au moyen d'une ou plusieurs mymoires pro- 
grammables ou reprogrammables (2, 3, 4, 5) adressees par tout ou partie du mot devant subir une substi- 

25 tution, et par tout ou partie de la cle ou de parties de la ciy appliquye successivement, caractyrisy en ce 
qu'il comporte en outre des moyens pour permettre I'utilisation du dispositif pour des mots de longueur in- 
ferieure k celle normalement prevue, en completant ce mot avec des zeros et en assurant, au moyen 
d'une permutation initiale et d'une permutation finale (To), une distribution de ces zyros sur des positions 
d'elements binaires qui sont conservees par les operations de permutation et de substitution. 

30 2. Dispositif selon la revendication 1, caracterise en ce que ['operation de permutation est realisye au 
moyen d'un cablage assurant une repartition homogene de Pensemble des elements binaires d'un groupe 
d'entree sur I'ensemble des groupes de sortie. 

3. Dispositif selon Tune quelconque des revendications 1 et 2, caractyrisy en ce que les memoires de 
substitution sont constituees en tables de substitution correspondant elles-memes chacune a une valeur 

35 donnee de la cle appliquye a cette memoire. 

4. Dispositif selon la revendication 3, caracterise en ce que chaque memoire de substitution compor- 
te, pour une valeur donned de la cle appliquee a cette memoire, plusieurs tables de substitution, entre 
lesquelles le choix est assure par un adressage supplementaire au moyen d'une ciy auxiliaire (Co, Ci). 

5. Dispositif selon la revendication 4, caracterise en ce que chaque memoire de substitution comporte 
40 notamment, pour une valeur donnee de la cle appliquee k cette memoire, deux tables de substitution don- 

nant Tune un algorithme de substitution, I'autre son inverse. 

6. Dispositif selon Tune des revendications 1 a 5, caracterise en ce que la totality de la cle est appli- 
quee plusieurs fois, au cours de plusieurs suites successives de substitutions et de permutations. 

7. Dispositif selon la revendication 6, caracterise en ce que la suite resultante presente une symytrie. 

45 8. Dispositif selon la revendication 2, caracterise en ce que le schema correspondant k ce cablage 
est reversible. 

9. Dispositif selon Tune quelconque des revendications 1 k 8, caractyrisy en ce que les mymoires de 
substitution sont chargees de fagon aleatoire. 

50 

Claims 

1 . An enciphering device using substitutions and permutations, capable of transforming a binary word 
(p) into another binary word (c) by means of a sequence of substitutions and permutations under the con- 

55 trol of a key (K), in which the operations of substitution are carried out by means of one or more program- 
mable or reprogrammable storages (2, 3, 4, 5), which are addressed by the entirety or by part of the 
word to be subjected to substitutions, and by the entirety or by part of the key or by parts of the key suc- 
cessively applied, characterized in that the device further comprises means adapted to allow for using 
the device in case of words having a length which is shorter than the one normally provided for, by com- 

60 pleting this word by zeros and by providing for a distribution of said zeros across binary element posi- 
tions preserved by the operations of substitution and permutation by means of an initial permutation and 
of a final permutation (To). 

2. A device according to claim 1, characterized in that the permutation operation is carried out by 
means of a hard-wiring which ensures a homogeneous distribution of all of the binary elements in an input 

65 group across all of the output groups. 
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3. A device according any one of claims 1 and 2, characterized in that the substitution storages are 
constituted of substitution tables, each corresponding to a given value of the key applied to said stor- 
ace 

4. A device according to claim 3, characterized in that for a given value of the key applied to said 
5 storage, each substitution storage comprises several substitution tables among which the choice is en- 
sured via a supplementary addressing by means of an auxiliary key (Co, Ci). 

5. A device according to claim 4, characterized in that each substitution storage notably comprises 
two substitution tables, for a given value of the key applied to said storage, one table providing an algo- 
rithm of substitution, the other the inverse version thereof. 

10 6. A device according to one of the claims 1 to 5, characterized in that the entirety of the key is applied 
several times during several successive sequences of substitutions and permutations. 

7. A device according to claim 6, characterized in that the resulting sequence presents a symmetry. 

8. A device according to claim 2, characterized in that the wiring scheme is reversible. 

9. A device according to anyone of the claims 1 to 8, characterized in that the substitution storages 
15 are randomly loaded. 

Patentanspruche 

1. Einrichtung zur Verschlusselung durch Substitutionen und Permutationen, die in der Lage ist, auf- 
20 grund eines Schlussels (K) ein Binarwort (p) durch eine Folge von Substitutionen und Permutationen in 
ein anderes Binarwort (c) zu verwandeln, wobei die Substitutionsoperationen mit Hilfe eines oder mehre- 
rer prog ram mierbarer oder umprogrammierbarer Speicher (2, 3, 4, 5) erfolgt, welche durch das gesamte 
zu substituierende Wort oder durch einen Teil davon und durch den gesamten Schlussel oder durch ei- 
nen Teil davon oder durch nacheinander angewandte Teile des Schlussels adressiert werden, dadurch 
25 gekennzeichnet, daB die Einrichtung weiter Mittel aufweist, die es gestatten, die Einrichtung auch bei 
Wortem mit einer Lange zu verwenden, welche geringer als die normaierweise vorgesehene Lange ist, 
indem das betreffende Wort durch Nullen vervollstandigt wird, wobei mit Hilfe einer Anfangs- und End- 
permutation (To) eine Verteilung dieser Nullen uber die Binarelementpositionen herbeigefuhrt wird, die 
durch die Permutations- und Substitutionsoperationen beibehalten bleiben. 
30 2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daB die Permutationsoperation durch eine 
Beschaltung erreicht wird, die eine homogene Verteilung aller Binarelemente einer Eingangsgruppe uber 
alle Ausgangsgruppen bewirkt. 

3. Einrichtung nach einem beliebigen der Anspruche 1 und 2, dadurch gekennzeichnet, das die Substi- 
tutionsspeicher aus Substitutionstabellen bestehen, die je ihrerseits einem gegebenen Wert des auf die- 

35 sen Speicher angewandten Schlussels entsprechen. 

4. Einrichtung nach Anspruch 3, dadurch gekennzeichnet, daB jeder Substitutionsspeicher fur jeden 
gegebenen Wert des auf diesen Speicher angewandten Schlussels mehrere Substitutionstabellen auf- 
weist, zwischen denen die Wahl durch eine zusatzliche Adressierung mitteis eines Hilfsschlussels (Co, 
Ci) bewirkt wird. . 

40 5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daB jeder Substitutionsspeicher fur einen 
gegebenen Wert des auf diesen Speicher angewandten Schlussels insbesondere zwei Substitutionsta- 
bellen aufweist, von denen eine den Substitutionsalgorithmus und die andere den dazu inversen Algo- 
rithmus liefert. . 

6. Einrichtung nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet, daB der Schlussel in sei- 
45 ner Gesamtheit mehrmals im Zuge mehrerer aufeinanderfolgender Substitutions- und Permutationsfol- 

gen angewandt wird. . 

7. Einrichtung nach Anspruch 6 t dadurch gekennzeichnet die resultierende Folge eine Symmetne be- 
srtzt. 

8. Einrichtung nach Anspruch 2, dadurch gekennzeichnet, daB das der Beschaltung entsprechende 
50 Schema umkehrbar ist. , 

9. Einrichtung nach einem beliebigen der Anspruche 1 bis 8, dadurch gekennzeichnet, daB die Substi- 
tutionsspeicher regellos getaden werden. 

55 
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